海外ではだいぶ前からツッコミされつつ、ようやく国内においても現在では、定期的な変更は、あまり意味がないとされてます。
むしろ”定期的”な強制した変更を求めると、度々の変更を求められると面倒になるという心理がありつつ、強度の弱いモノにされがちで(結局、近々のパスワードが使えなくても、いつつかをローテーションしだしたりもあり)、推奨はされない方向になってます。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/
https://business.ntt-east.co.jp/bizdrive/column/post_334.html
もちろん、(昔設定したままで放置してるとかで)弱いパスワードでないかの棚卸しはした方が良いです。 今ほどウルサイ事を言われないない時代だと、4文字、6文字制限とかで短いとか、使える文字種が少ないで単純で、類推可能とか。
思い出したタイミングで良いから、偶に棚卸しで見直しをして、強いパスワードへ変更はありでしょう。
相変わらずダメなのは、異なるサービス等で同じパスワードの使いまわしです。 これが一番ダメです。
どこかで漏洩した場合に、同じだとパスワードリスト攻撃が成功する可能性があります。
また、短めや単純、類推可能なのは避けましょう。
偶然の一致を避けれます。
個人情報が漏洩してると、個人情報や個人の属性から類推されることがあります。
攻撃用辞書を個人情報から補完すると、類推されて格段に攻撃時間が短くなるので危険です。
パスワードに誕生日の数字や名前の一部(名前から類推できる”あだ名”)等を含んでいるととかは最悪ですね。 ありがちな語呂合わせも推測されがちです。
(使える文字種が多いのと)文字数が多いほど、力技での解析は難しくなります。
8文字と12文字程度でも力技の解析は雲泥の差です。
現実としては、オンライン経由での攻撃だと、入力回数制限があるので(アカウントロックがされたりする)、回数を熟す力技な解析はやりにくいですけどね。
パスワードは、(忘れにくい範囲で)なるべく長く、個々のアカウントで異なりユニークであるべきです。
先にも触れましたが、同じパスワードをあれこれと使いまわしは、止めましょう。
また、アカウントのIDとなるのは、メールアドレスが多いかと思いますが、メールアドレスをいくつか使い分け(メールアドレスも用途別に分けてみるとか)もありでしょう。
これも、うっかり同じパスワードと使い回ししていても、パスワードにリスト攻撃を回避できます。
